c#数据库参数化代替拼接字符串成的SQL语句

三个步骤:

• 第一步:声明数据库连接对象:

       Sqlconnection connection=new Sqlconnection(ConnectionString);

• 第二步:声明数据库操作对象:

      两种途径:

1. 直接以字符串拼接的方式形成sql语句,比如:

   sqlstr="insert into usertab(uid,pwd) values('"+uidtxt+"','"+pwdtxt+"')";

   SqlCommand command = new SqlCommand(sqlstr, connection);

2. 以参数占位的先行成形式语句,然后对参数实行绑定,比如:

       sqlstr="insert into usertab(uid,pwd) values(@uidtxt,@pwdtxt)";

      SqlCommand command = new SqlCommand(sqlstr, connection);

       command.Parameters.Add("@uidtxt", SqlDbType.Text);
       command.Parameters["@uidtxt"].Value =uidtxt;

      command.Parameters.Add("@pwdtxt", SqlDbType.Text);
      command.Parameters["@pwdtxt"].Value =uidtxt;

• 执行数据库操作:

       command.ExecuteNonQuery();

       connection.close();